js過濾跨站腳本攻擊

1. 如何防止javascript 腳步注入

XSS 過濾下就行~

2. 我用360安全監測網站。給出結論是跨站腳本攻擊漏洞。補救方法是：建議過濾用戶輸入的元數據。

網站被掛馬的因素分2中 一中是由於伺服器空間商的安全 導致被牽連
一種是網站程序的安全自身的程序安全漏洞被黑被入侵被掛馬。
有條件的話可以找專業做安全的去看看. 公司的話可以去Sine安全看看聽朋友說不錯。

一般都是網站程序存在漏洞或者伺服器存在漏洞而被攻擊了
網站掛馬是每個網站最頭痛的問題，解決辦法：1.在程序中很容易找到掛馬的代碼，直接刪除，或則將你沒有傳伺服器的源程序覆蓋一次但反反復復被掛就得深入解決掉此問題了。但這不是最好的解決辦法。最好的方法還是找專業做安全的來幫你解決掉
聽朋友說 SineSafe 不錯 你可以去看看。

清馬+修補漏洞=徹底解決

所謂的掛馬，就是黑客通過各種手段，包括SQL注入，網站敏感文件掃描，伺服器漏洞，網站程序0day, 等各種方法獲得網站管理員賬號，然後登陸網站後台，通過資料庫 備份/恢復 或者上傳漏洞獲得一個webshell。利用獲得的webshell修改網站頁面的內容，向頁面中加入惡意轉向代碼。也可以直接通過弱口令獲得伺服器或者網站FTP，然後直接對網站頁面直接進行修改。當你訪問被加入惡意代碼的頁面時，你就會自動的訪問被轉向的地址或者下載木馬病毒

清馬

1、找掛馬的標簽，比如有<script language="javascript" src="網馬地址"></script>或<iframe width=420 height=330 frameborder=0
scrolling=auto src=網馬地址></iframe>，或者是你用360或病殺毒軟體攔截了網馬網址。SQL資料庫被掛馬，一般是JS掛馬。

2、找到了惡意代碼後，接下來就是清馬，如果是網頁被掛馬，可以用手動清，也可以用批量清，網頁清馬比較簡單，這里就不詳細講，現在著重講一下SQL資料庫清馬，用這一句語句「update 表名 set 欄位名=replace(欄位名,'aaa','')」， 解釋一下這一句子的意思：把欄位名里的內容包含aaa的替換成空，這樣子就可以一個表一個表的批量刪除網馬。

在你的網站程序或資料庫沒有備份情況下，可以實行以上兩步驟進行清馬，如果你的網站程序有備份的話，直接覆蓋原來的文件即可。

修補漏洞（修補網站漏洞也就是做一下網站安全。）

1、修改網站後台的用戶名和密碼及後台的默認路徑。

2、更改資料庫名,如果是ACCESS資料庫，那文件的擴展名最好不要用mdb，改成ASP的，文件名也可以多幾個特殊符號。

3、接著檢查一下網站有沒有注入漏洞或跨站漏洞，如果有的話就相當打上防注入或防跨站補丁。

4、檢查一下網站的上傳文件，常見了有欺騙上傳漏洞，就對相應的代碼進行過濾。

5、盡可能不要暴露網站的後台地址，以免被社會工程學猜解出管理用戶和密碼。

6、寫入一些防掛馬代碼，讓框架代碼等掛馬無效。

7、禁用FSO許可權也是一種比較絕的方法。

8、修改網站部分文件夾的讀寫許可權。

9、如果你是自己的伺服器，那就不僅要對你的網站程序做一下安全了，而且要對你的伺服器做一下安全也是很有必要了！

網站被掛馬是普遍存在現象然而也是每一個網站運營者的心腹之患。

您是否因為網站和伺服器天天被入侵掛馬等問題也曾有過想放棄的想法呢，您否也因為不太了解網站技術的問題而耽誤了網站的運營，您是否也因為精心運營的網站反反復復被一些無聊的黑客入侵掛馬感到徬彷且很無耐。有條件建議找專業做網站安全的sine安全來做安全維護。

3. 如何正確防禦xss攻擊

傳統防禦技術

2.1.1基於特徵的防禦

傳統XSS防禦多採用特徵匹配方式，在所有提交的信息中都進行匹配檢查。對於這種類型的XSS攻擊，採用的模式匹配方法一般會需要對「javascript」這個關鍵字進行檢索，一旦發現提交信息中包含「javascript」，就認定為XSS攻擊。

2.1.2 基於代碼修改的防禦

和SQL注入防禦一樣，XSS攻擊也是利用了Web頁面的編寫疏忽，所以還有一種方法就是從Web應用開發的角度來避免：

1、對所有用戶提交內容進行可靠的輸入驗證，包括對URL、查詢關鍵字、HTTP頭、POST數據等，僅接受指定長度范圍內、採用適當格式、採用所預期的字元的內容提交，對其他的一律過濾。

2、實現Session標記(session tokens)、CAPTCHA系統或者HTTP引用頭檢查，以防功能被第三方網站所執行。

3、確認接收的的內容被妥善的規范化，僅包含最小的、安全的Tag(沒有javascript)，去掉任何對遠程內容的引用(尤其是樣式表和javascript)，使用HTTP only的cookie。

當然，如上方法將會降低Web業務系統的可用性，用戶僅能輸入少量的制定字元，人與系統間的交互被降到極致，僅適用於信息發布型站點。

並且考慮到很少有Web編碼人員受過正規的安全培訓，很難做到完全避免頁面中的XSS漏洞。

(3)js過濾跨站腳本攻擊擴展閱讀：

XSS攻擊的危害包括

1、盜取各類用戶帳號，如機器登錄帳號、用戶網銀帳號、各類管理員帳號

2、控制企業數據，包括讀取、篡改、添加、刪除企業敏感數據的能力

3、盜竊企業重要的具有商業價值的資料

4、非法轉賬

5、強制發送電子郵件

6、網站掛馬

7、控制受害者機器向其它網站發起攻擊

受攻擊事件

新浪微博XSS受攻擊事件

2011年6月28日晚，新浪微博出現了一次比較大的XSS攻擊事件。

大量用戶自動發送諸如：

「郭美美事件的一些未注意到的細節」，「建黨大業中穿幫地方」，「讓女人心動的100句詩歌」，「這是傳說中的神仙眷侶啊」等等微博和私信，並自動關注一位名為hellosamy的用戶。

事件的經過線索如下：

20:14，開始有大量帶V的認證用戶中招轉發蠕蟲

20:30，某網站中的病毒頁面無法訪問

20:32，新浪微博中hellosamy用戶無法訪問

21:02，新浪漏洞修補完畢

網路貼吧xss攻擊事件

2014年3月9晚，六安吧等幾十個貼吧出現點擊推廣貼會自動轉發等。並且吧友所關注的每個關注的貼吧都會轉一遍，病毒循環發帖。並且導致吧務人員，和吧友被封禁。

4. ssh 框架來做的js 腳本受到了跨站腳本攻擊原因

輸入輸出控制好，關鍵是你後台沒做驗證呀，後台驗證做好了就完全沒問題了

5. 請教各位大神關於從js寫法上避免xss攻擊的問題

XSS攻擊通常是指黑客通過"HTML注入"篡改了網頁，插入了惡意的腳本，從而在用戶瀏覽網頁時，控制用戶瀏覽器的一種攻擊。

一、HttpOnly防止劫取Cookie

HttpOnly最早由微軟提出，至今已經成為一個標准。瀏覽器將禁止頁面的Javascript訪問帶有HttpOnly屬性的Cookie。目前主流瀏覽器都支持，HttpOnly解決是XSS後的Cookie支持攻擊。

我們來看下網路有沒有使用。

未登錄時的Cookie信息
可以看到，所有Cookie都沒有設置HttpOnly，現在我登錄下

發現在個叫BDUSS的Cookie設置了HttpOnly。可以猜測此Cookie用於認證。

下面我用PHP來實現下：

<?php
header("Set-Cookie: cookie1=test1;");
header("Set-Cookie: cookie2=test2;httponly",false);

setcookie('cookie3','test3',NULL,NULL,NULL,NULL,false);
setcookie('cookie4','test4',NULL,NULL,NULL,NULL,true);
?>
<script>
alert(document.cookie);
</script>
js只能讀到沒有HttpOnly標識的Cookie

二、輸入檢查

輸入檢查一般是檢查用戶輸入的數據中是否包含一些特殊字元，如<、>、'、"等，如果發現存在特殊字元，則將這些字元過濾或者編碼。

例如網站注冊經常用戶名只允許字母和數字的組合，或者郵箱電話，我們會在前端用js進行檢查，但在伺服器端代碼必須再次檢查一次，因為客戶端的檢查很容易繞過。

網上有許多開源的「XSS Filter」的實現，但是它們應該選擇性的使用，因為它們對特殊字元的過濾可能並非數據的本意。比如一款php的lib_filter類：

$filter = new lib_filter();
echo $filter->go('1+1>1');
它輸出的是1，這大大歪曲了數據的語義，因此什麼情況應該對哪些字元進行過濾應該適情況而定。

三、輸出檢查

大多人都知道輸入需要做檢查，但卻忽略了輸出檢查。

1、在HTML標簽中輸出

如代碼：

<?php
$a = "<script>alert(1);</script>";
$b = "<img src=# onerror=alert(2) />";
?>
<div><?=$b?></div>
<a href="#"><?=$a?></a>
這樣客戶端受到xss攻擊，解決方法就是對變數使用htmlEncode,php中的函數是htmlentities

<?php
$a = "<script>alert(1);</script>";
$b = "<img src=# onerror=alert(2) />";
?>
<div><?=htmlentities($b)?></div>
<a href="#"><?=htmlentities($a)?></a>

2、在HTML屬性中輸出

<div id="div" name ="$var"></div>
這種情況防禦也是使用htmlEncode

在owasp-php中實現：

$immune_htmlattr = array(',', '.', '-', '_');
$this->htmlEntityCodec->encode($this->immune_htmlattr, "\"><script>123123;</script><\"");

3、在<script>標簽中輸出

如代碼：
<?php
$c = "1;alert(3)";
?>
<script type="text/javascript">
var c = <?=$c?>;
</script>
這樣xss又生效了。首先js變數輸出一定要在引號內，但是如果我$c = "\"abc;alert(123);//"，你會發現放引號中都沒用，自帶的函數都不能很好的滿足。這時只能使用一個更加嚴格的JavascriptEncode函數來保證安全——除數字、字母外的所有字元，都使用十六進制"\xHH"的方式進行編碼。這里我採用開源的owasp-php方法來實現
$immune = array("");
echo $this->javascriptCodec->encode($immune, "\"abc;alert(123);//");
最後輸出\x22abc\x3Balert\x28123\x29\x3B\x2F\x2F

4、在事件中輸出

<a href="#" onclick="funcA('$var')" >test</a>
可能攻擊方法
<a href="#" onclick="funcA('');alter(/xss/;//')">test</a>
這個其實就是寫在<script>中，所以跟3防禦相同

5、在css中輸出

在owasp-php中實現：

$immune = array("");
$this->cssCodec->encode($immune, 'background:expression(window.x?0:(alert(/XSS/),window.x=1));');
6、在地址中輸出

先確保變數是否是"http"開頭，然後再使用js的encodeURI或encodeURIComponent方法。

在owasp-php中實現：

$instance = ESAPI::getEncoder();
$instance->encodeForURL(『url』);
四、處理富文體

就像我寫這篇博客，我幾乎可以隨意輸入任意字元，插入圖片，插入代碼，還可以設置樣式。這個時要做的就是設置好白名單，嚴格控制標簽。能自定義 css件麻煩事，因此最好使用成熟的開源框架來檢查。php可以使用htmlpurify

五、防禦DOM Based XSS

DOM Based XSS是從javascript中輸出數據到HTML頁面里。

<script>
var x = "$var";
document.write("<a href='"+x+"'>test</a>");
</script>
按照三中輸出檢查用到的防禦方法，在x賦值時進行編碼，但是當document.write輸出數據到HTML時，瀏覽器重新渲染了頁面，會將x進行解碼，因此這么一來，相當於沒有編碼，而產生xss。
防禦方法：首先，還是應該做輸出防禦編碼的，但後面如果是輸出到事件或腳本，則要再做一次javascriptEncode編碼，如果是輸出到HTML內容或屬性，則要做一次HTMLEncode。

會觸發DOM Based XSS的地方有很多：

document.write()、document.writeln()、xxx.innerHTML=、xxx.outerHTML=、innerHTML.replace、document.attachEvent()、window.attachEvent()、document.location.replace()、document.location.assign()

6. 關於XSS 跨站腳本漏洞怎麼修復這個是需要JS過濾掉嗎

可以在騰訊智慧安全頁面申請使用騰訊御點
然後使用這個軟體上面的修復漏洞功能
直接對電腦的漏洞進行檢測和修復就可以了

7. 什麼是跨站點腳本攻擊 就是這個站點的頁面上的js直接去訪問其他的站點造成擁塞嗎

跨站點腳本攻擊主要是竊取訪客的cookie,從而有可能用於竊取別人的登錄信息

8. 關於跨站攻擊<<img src="javascript:alert(/xss/)">

這個要IE6才能執行。
你可以嘗試<img src=5 onerror=alert(1)>

9. 如何防止跨站點腳本攻擊

你好~
XSS漏洞產生的原因：

跨站點腳本的主要原因是程序猿對用戶的信任。開發人員輕松地認為用戶永遠不會試圖執行什麼出格的事情,所以他們創建應用程序,卻沒有使用任何額外的代碼來過濾用戶輸入以阻止任何惡意活動。另一個原因是,這種攻擊有許多變體，用製造出一種行之有效的XSS過濾器是一件比較困難的事情。
但是這只是相對的，對用戶輸入數據的」編碼」和」過濾」在任何時候都是很重要的，我們必須採取一些針對性的手段對其進行防禦。

如何創造一個良好的XSS過濾器來阻止大多數XSS攻擊代碼

1 .需要重點」編碼」和」過濾」的對象
The URL
HTTP referrer objects
GET parameters from a form
POST parameters from a form
Window.location
Document.referrer
document.location
document.URL
document.URLUnencoded
cookie data
headers data
database data

防禦XSS有一個原則:
以當前的應用系統為中心，所有的進入應用系統的數據都看成是輸入數據(包括從FORM表單或者從資料庫獲取到的數據)，所有從當前應用系統流出的數據都看作是輸出(包括輸出到用戶瀏覽器或向資料庫寫入數據)
對輸入的數據進行」過濾」，對輸出數據進行」編碼」。這里的」編碼」也要注意，必須針對數據具體的上下文語境進行針對性的編碼。例如數據是輸出到HTML中的那就要進行HtmlEncode，如果數據是輸出到javascript代碼中進行拼接的，那就要進行javascriptEncode。
如果不搞清楚數據具體輸出的語境，就有可能因為HtmlParser()和javascriptParser()兩種解析引擎的執行先後問題導致看似嚴密的」編碼」形同虛設。

2. HtmlEncode HTML編碼
它的作用是將字元轉換成HTMLEntities，對應的標準是ISO-8859-1
為了對抗XSS，在HtmlEncode中要求至少轉換以下字元:
& --> &
< --> <
> --> >
" --> "
' --> '
/ --> /
在PHP中:

htmlentities
http://www.w3school.com.cn/php/func_string_htmlentities.asp
htmlspecialchars
http://www.w3school.com.cn/php/func_string_htmlspecialchars.asp
3. javascriptEncode javascript」編碼」
javascriptEncode與HtmlEncode的編碼方法不同，HtmlEncode是去編碼，而javascriptEncode更多的像轉義，它需要使用」\」對特殊字元進行轉義。從原理上來講，這都符合編碼函數的一個大原則: 將數據和代碼區分開，因為對於HTML Tag來說，我們對其進行」可視化(轉換成可以見字元)」的編碼可以將數據和HTML的界限分開。而對於javascript來說，我們除了要進行編碼之外，還需要對特殊字元進行轉義，這樣攻擊輸入的用於」閉合」的特殊字元就無法發揮作用，從而避免XSS攻擊，除此之外，在對抗XSS時，還要求輸出的變數必須在引號內部，以避免造成安全問題。
escape()
http://www.w3school.com.cn/js/jsref_escape.asp
該方法不會對 ASCII 字母和數字進行編碼，也不會對下面這些 ASCII 標點符號進行編碼： * @ – _ + . / 。其他所有的字元都會被轉義序列(十六進制\xHH)替換。
利用這個編碼函數，不僅能防禦XSS攻擊，還可以防禦一些command注入。

一些開源的防禦XSS攻擊的代碼庫：

PHP AntiXSS
這是一個不錯的PHP庫,可以幫助開發人員增加一層保護，防止跨站腳本漏洞。
https://code.google.com/p/php-antixss/
xss_clean.php filter
https://gist.github.com/mbijon/1098477
HTML Purifier
http://htmlpurifier.org/
xssprotect
https://code.google.com/p/xssprotect/
XSS HTML Filter
http://finn-no.github.io/xss-html-filter/

原文地址：http://resources.infosecinstitute.com/how-to-prevent-cross-site-scripting-attacks/

希望可以幫助到你~望採納哦~謝謝~